macOS 11.2 Big Surではsudoの脆弱性CVE-2021-3156は未修正のようです。詳細は以下から。
2021年01月下旬、sudoにおけるヒープベースのバッファオーバーフローの脆弱性(CVE-2021-3156)を利用し、どのユーザーでもパスワード認証をせずroot権限に昇格できる通称「Baron Samedit」が発表され話題になりましたが、米カーネギーメロン大学CERT/CCのアナリストWill Dormannさんによると、現地時間2021年02月01日にされた「macOS 11.2 Big Sur Build 20D64」ではこの脆弱性は修正されていないそうです。
Can confirm with macOS Big Sur on both x86_64 and aarch64. pic.twitter.com/nQqQ8rskv7
— Will Dormann (@wdormann) February 2, 2021
米ZDNetのCatalin CimpanuさんがWillさんらに取材したところ、この脆弱性はIntel(x86_64)/Apple Silicon(aarch64)両方のmacOS 11.2で修正されておらず、macOS 11.2で確認したところsudoのバージョンはパッチが適用されていないv1.8.31となっていました。
また、Appleが公開したセキュリティアップデート2021-001のセキュリティコンテンツを見てもCVE-2021-3156の情報は掲載されておらず、セキュリティアップデート2021-001を適用したCatalina/Mojaveでもこの脆弱性は有効でしたが、今回のアップデートでは悪意のあるローカルの攻撃者が権限を昇格できる可能性がある脆弱性が3件修正されているので、ユーザーの方は時間を見つけてアップデートを適用しておくことをお勧めします。
- sudoの脆弱性(CVE-2021-3156)に関する注意喚起 – JPCERT/CC
- sudoの脆弱性情報(Important: CVE-2021-3156 : Baron Samedi) – security.sios.com
コメント